Sucuriは2月2日(米国時間)、「Konami Code Backdoor Concealed in Image」において、画像ファイルに隠されたバックドア型マルウェアについて伝えた。このマルウェアは、ペイロードを画像ファイル内に配置し、バックドアへのアクセスに仕掛けを施すことで検知を回避するよう設計されているという。

  • Konami Code Backdoor Concealed in Image

    Konami Code Backdoor Concealed in Image

このマルウェアは2019年に侵害されたDrupal環境内で検出されており、新しいものではないとされている。しかしながらこのマルウェアがここ数カ月、攻撃者の間で人気が上がっていることがSucuriの調べでわかった。ここ3カ月ほどで約1万5000件も検出されており、WordPressサイトを侵害するために使用する一般的な攻撃キットにバンドルされた可能性が高いとみられている。

このバックドアは偽のプラグインとしてWordPress環境にアップロードされる傾向があるとされ、偽のプラグインディレクトリに格納された「index.php」および「front.jpeg」という2つのファイルで構成されているという。index.phpファイルはfront.jpgをインクルードするコードだけが埋め込まれており、実際にはfront.jpeg内にペイロードが隠されていることがわかった。画像ファイル内に悪意のあるコードを埋め込むという手口は、攻撃者がセキュリティスキャナの検出を回避するためによく使う手とされ、実際に一部のセキュリティスキャンからの検出を回避することができると説明されている。

また、このバックドアにはコナミコマンドのような機能が実装されていることも判明している。Webブラウザ経由でバックドア用のWebシェルへのログインプロンプトを表示させるには、キーボードのCTRLキーを押しながらマウスの左ボタンをクリックしなければならないことが判明している。

Sucuriはこのようなマルウェアから身を守る手段として、予防策を講じてリスクを軽減させることを推奨している。Webサイトのパッチを完全に適用し、最新の状態に保つことや二要素認証(2FA: Two-Factor Authentication)や強固なパスワードの使用、積極的なセキュリティの確保などの緩和措置を実施することが望まれている。